【Pマーク改正関連】 外国にある第三者への提供

個人情報を第三者に提供する場合、プライバシーマーク（Pマーク）取得会社は普段よりも注意すべき点が増えます。個人情報の本人は当然提供先でも自分の個人情報が適切かつ安全に取り扱われることを期待しますから、個人情報を提供する側はそのような要求にこたえるために必要なことを実施しなければなりません。

ただし提供先が日本の企業の場合に限って言うと、日本ではすべての個人情報取扱事業者が個人情報保護法という同一の法によって規制されていますから、通常であれば日本にある企業同士で極端に個人情報保護レベルが異なるということはありません。

しかし提供先が外国であればどうでしょうか。個人情報保護の法令や要求や考え方は国ごとに違いますから、当然日本よりもレベルの高い国もあれば低い国もあるわけです。

もしも日本より個人情報保護のレベルが低い国に個人情報が提供されてしまうと、その個人情報が提供元と同じかそれ以上のレベルで保護されるとは期待できなくなってしまうのではないでしょうか。

外国にある第三者への提供に関連した法律の改正

実はかねてより問題になっていた以上の点に対応すべく、平成27年に改正された個人情報保護法では、通常の第三者提供における本人の同意とは別に、外国にある第三者への提供においてはそのことについても同意を得る必要があるということになったのです。

言うまでもなくプライバシーマーク（Pマーク）を取得しているかどうかを問わずすべての事業者は改正以降外国にある第三者に個人情報を提供する際、原則として特別な本人の同意を得ることが必要となりました。

法改正に伴いPマークの規格も改正されました

プライバシーマーク（Pマーク）の規格であるJIS Q 15001が改正され、その内容が昨年発表されたことは皆さんもご存じかと思います。

プライバシーマーク（Pマーク）の規格の改正は改正個人情報保護法を反映したものとなっていますが、外国にある第三者への提供の部分においてもやはり法改正に伴った規格変更が生じています。

そもそも以前のJIS Q 15001には外国にある第三者への提供を個別に取り上げた個所はありませんでした。それが今回のJIS改正では新たに「外国にある第三者への提供の制限」という項目が設けられ、一つの要求事項としての地位を占めています。

外国にある第三者とは？

ここで問題になるのは「外国にある第三者とはだれ（またはどんな組織）のことなのか」という点ですが、「外国にある第三者」とは、個人情報の本人とそれを取り扱う事業者以外の者で、外国に所在する者のことと定義されています。

日本で法人格を有する法人の外国にある支店などは「外国にある第三者」には該当しませんが、外国にある法人で、提供元とは法人が異なる子会社や関連会社の場合は「外国にある第三者」に該当します。

まとめ

企業活動の多様化・グローバル化に伴って個人情報保護法もプライバシーマーク（Pマーク）の規格も改正されています。今後プライバシーマーク（Pマーク）を取得したり更新したりする会社は、自社における個人情報の外国の第三者に対する提供の有無や実態を確実に把握し、新しい法律や規格に対応するようにしてください。

・こちらの記事もおすすめです

→【Pマークって日本だけ？】